《CIA 红皮书-国际内部审计实务框架XXXX修订版(word目录链接).docx》由会员分享,可在线阅读,更多相关《CIA 红皮书-国际内部审计实务框架XXXX修订版(word目录链接).docx(47页珍藏版)》请在三一办公上搜索。
1、CIA 红皮书-国际内部审计专业实务框架-2009年1月修订属性标准31000-宗旨、权力和职责31100-独立性和客观性31110-组织的独立性31130-对独立性或客观性的损害41200-专业能力与应有的职业审慎41210-专业能力41220-应有的职业审慎41230-持续职业发展51300-质量保证与改进程序51310-质量保证与改进程序的要求51311-内部评估51312-外部评估61320-对质量保证与改进程序的报告61321-对“遵循标准”的应用61322-对未遵循情况的披露6工作标准62000-内部审计活动的管理62010-计划72020-沟通与批准72030-资源管理72040
2、-政策与程序72050-协调72060-向高级管理层和董事会报告72100-工作性质82110-治理82120-风险管理82130-控制92200-业务计划92210-业务目标92220-业务范围102230-业务资源的分配102240-业务工作方案102300-业务的实施102310-识别信息102320-分析评价112330-记录信息112340-业务的督导112400-结果的报告112410-报告标准112420-报告的质量122421-错误与遗漏122430-对“遵循标准”的应用122431-对未遵循情况的披露122440-结果的发送122500-监督进展132600-高级管理层接受风
3、险的决定13实务公告16实务公告1000-1 内部审计章程16实务公告1110-1 组织的独立性17实务公告1120-1 个人客观性18实务公告1130-1 对独立性或客观性的损害18实务公告1210-1 专业能力20实物公告1220-1 应有的职业审慎23实务公告1230-1 持续职业发展23实务公告1312-1 外部评估26实务公告1312-2 外部评估:独立审定的自我评估28实务公告1321-1 对“遵循标准”的应用29实务公告2010-1 审计计划对风险和风险暴露的关注30实务公告2020-1 沟通与批准31实务公告2030-1 资源管理31实务公告2040-1 政策与程序32实务公告
4、2050-1 协调32实务公告2060-1 向高级管理层和董事会报告33实务公告2120-1 评估风险管理过程的适当性33实务公告2130-1 评估控制程序的适当性35实务公告2130-A1.1 信息的可靠性和完整性36实务公告2130.A1-237实务公告2200-1 业务计划38实务公告2210-1 业务目标38实务公告2210.A1-1 业务计划中的风险评估39实务公告2230-1 业务资源的分配39实务公告2240-1 业务工作方案39实务公告2230-1 记录信息40实务公告2330.A1-1 对业务记录的控制40实务公告2330.A2-1 保存记录41实务公告2340-1 业务的督
5、导41实务公告2410-1 报告标准42实务公告2420-1 报告的质量43实务公告2440-1 结果的发放44实务公告2500-1 监督进展44实务公告2500.A1-1 后续程序45属性标准1000-宗旨、权力和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中按照内部审计定义、职业道德规范和标准的相关内容正式确定。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批
6、权在董事会。1000.A1-向组织提供的确认服务的性质必须在内部审计章程中明确规定。如果内部审计部门向组织外部的有关方面提供确认服务,则此类确认服务的性质也必须在内部审计章程中确定。1000.C1-咨询服务的性质必须在内部审计章程中确定。1010-在内部审计章程中确认“内部审计定义”、职业道德规范和标准“内部审计定义”、职业道德规范和标准的强制性质必须在内部审计章程中得到确认。首席审计执行官应当向高级管理层和董事会解释并讨论“内部审计定义”、职业道德规范和标准。1100-独立性和客观性内部审计部门必须保持其独立性,内部审计师必须客观地开展工作。释义独立性指内部审计部门或首席审计执行官不偏不倚地
7、履行职责,免受任何威胁其履职能力的情况影响。要达到有效履行内部审计部门职责所必须的独立程度,首席审计执行官需要直接且无限制地与高级管理层和董事会接触。这一要求可以通过建立双重报告关系来实现。独立性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。客观性指不偏不倚的工作态度,保持客观性,内部审计师方可在开展业务时确信其工作成果,不做任何质量方面的妥协。客观性要求内部审计师对于审计事项的判读不得屈服于他人。客观性所面临的各种威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上得到解决。1110-组织的独立性首席审计执行官必须向组织内部能够确保内部审计部门
8、履行职责的层级报告。首席审计执行官必须至少每年一次向董事会确认内部审计部门在组织中的独立性。1110.A1-内部审计部门在确定内部审计范围、开展工作和报告结果时,必须免受干扰。1111-与董事会的直接互动首席审计执行官必须与董事会直接沟通和互动。1120-个人的客观性内部审计师必须有公正、不偏不倚的态度,避免任何利益冲突。释义利益冲突时备受信赖的内部审计师面临与其职责相冲突的职业或个人利益的情况。这些职业或个人利益会影响内部审计师公正地履行职责。在不产生不道德或不恰当行为后果的情形下也会发生利益冲突。利益冲突可造成不当表象,削弱人们对内部审计师、内部审计活动以及整个内部审计职业的信心。利益冲突
9、更可损害内部审计师个人客观履行其职责的能力。1130-对独立性或客观性的损害如果独立性或客观性受到实质上或形式上的损害,必须向适当的对象披露损害的具体情况。披露的性质视受损情况而定。释义对组织独立性和个人客观性的损害可能包括但不限于:个人利益冲突,工作范围限制,接触记录、个人和实物资产的限制,在经费等资源方面受到约束等。独立性或客观性受损的细节必须披露的适当对象,取决于内部审计章程所记载的内部审计部门和首席执行官应当对高级管理层和董事会承担的责任,以及损害的性质。1130.A1-内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性视为受到
10、损害。1130.A2-确认服务涉及首席审计执行官负责的职能领域时,必须由独立于内部审计部门的某一方面进行监督。1130.C1 内部审计师可以对其以往负责的业务提供咨询服务。1130.C2 若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露。1200-专业能力与应有的职业审慎内部审计师在开展业务时,必须具备专业能力和应有的职业审慎。1210-专业能力内部审计师必须具备履行其职责所必须的知识、技能和其他能力。内部审计部门整体必须具备或获得履行其职责所必须的知识、技能和其他能力。释义 “知识、技能和其他能力”是一个集合术语,是内部审计师有效履行其职责所必须的专业
11、水平。鼓励内部审计师通过确定适当的专业资格证书和认证,例如国际内部审计协会和其他相关专业组织提供的“注册内部审计师”和其他认证,以证明其专业能力。1210.A1-当内部审计师缺乏完成全部或部分业务所必须的知识、技能或其他能力时,首席审计执行官必须向他人寻求充分的专业建议和协助。1210.A2-内部审计师必须充分了解有关评估舞弊风险以及所在组织管理舞弊风险的知识,但不期望内部审计师掌握以发现和调查舞弊为首要职责的人员所具备的专业技能。1210.A3-内部审计师缺乏完成全部或部分咨询业务所必须的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务或寻求充分的建议和协助。1220-应有的职业审
12、慎内部审计师必须具备并保持合理的审慎水平和胜任能力所要求的谨慎和技能。但是,应有的职业审慎并不意味着永不犯错。1220.A1-内部审计师必须通过考虑以下因素,履行其应有的职业审慎:l 为实现业务目标而需要开展工作的范围;l 所要确认事项的相对复杂性、重要性或严重性;l 治理、风险管理和控制过程的适当性和有效性;l 发生重大错误、舞弊或不合法的可能性;l 与潜在效益相对的确认成本。1220.A2-在履行应有的职业审慎时,内部审计师必须考虑利用技术的审计方法和其他数据分析技术。1220.A3-内部审计师必须警惕可能影响目标、运营或资源的重大风险。但是,即使是应有的职业审慎开展工作,确认程序本身并不
13、能保证发现所有的重大风险。1220.C1-开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:l 客户的需要与愿望,包括咨询结果的性质、时间安排与结果沟通;l 实现咨询业务目标所需开展工作的相对复杂性和范围;l 与潜在效益相对的咨询业务成本。1230-持续职业发展内部审计师必须通过持续职业发展来增加知识、提高技能和其他能力。1300-质量保证与改进程序内部审计执行官必须建立并维护涵盖内部审计活动所有方面的质量保证与改进程序。释义质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和标准以及内部审计师是否遵守职业道德规范进行评估,还可以用来评价内部审计活动的效果和效率,并识
14、别改进的机会。1310-质量保证与改进程序的要求质量保证与改进程序必须包括内部评估和外部评估。1311-内部评估内部评估必须包括:l 对内部审计活动执行情况的持续监督;l 通过自我评估或由组织内部其他充分了解内部审计实务的人员进行定期检查。释义持续监督包含在对内部审计活动进行日常监督、检查和测试的过程中。持续监督应纳入管理内部审计活动的日常政策和实践,运用不要的流程、工具和信息对内部审计活动是否遵循“内部审计定义”、职业道德规范和标准作出评估。定期检查是针对内部审计活动是否遵循“内部审计定义”、职业道德规范和标准而开展的评估工作。充分了解内部审计实务要求至少理解国际内部审计专业实务框架的所有要
15、素。1312-外部评估外部评估必须至少每五年开展一次,必须由来之组织外部、合格且独立的检查人员或检查小组负责实施。首席审计执行官必须与董事会讨论:l 更为平凡地开展外部评估的必要性;l 检查人员或检查小组的资格和独立性,包括任何潜在的利益冲突。释义合格的检查人员或检查小组由能够胜任内部审计专业实务和外部评估工作的人员组成。对检查人员或检查小组胜任能力的评估属于一种判断,需考虑选定人员的内部审计专业经验和专业资格证书,还需要考虑就接受评估的内部审计部门所在组织而言,检查人员所属机构的相对规模和复杂程度,以及是否需要检查人员或检查小组掌握特定部门、行业或技术知识等。独立的检查人员或检查小组意味着与
16、检查工作不存在任何实质上或形式上的利益冲突,不隶属于或受控于被评估的内部审计部门所在的组织。1320-对质量保证与改进程序的报告首席审计执行官必须向高级管理层和董事会报告质量保证与改进程序的结果。释义质量保证与改进程序结果的报告形式、内容和频率需要通过与高级管理层和董事会讨论确定,同时要考虑内部审计章程明确的关于内部审计部门和首席审计执行官的职责。为反映内部审计活动对“内部审计定义”、职业道德规范和标准的遵循情况,外部评估和定期内部评估的结果在评估完成时应立即报告,持续监督的结果至少每年报告一次。上述结果包括检查人员或检查小组对遵循程度的评估。1321-对“遵循标准”的应用只有在质量保证与改进
17、程序的结果证实内部审计活动遵循了标准时,首席审计执行官才可以进行“遵循标准”的声明。1322-对未遵循情况的披露若未遵循“内部审计定义”、职业道德规范和标准的情况影响到内部审计活动的整体范围或运作,首席审计执行官必须向高级管理层和董事会披露未遵循事项及其影响。工作标准2000-内部审计活动的管理首席审计执行官必须有效地管理内部审计活动,确保为组织增加价值。释义内部审计活动符合下列情况时,属于得到了有效的管理:n 内部审计部门的工作结果达到了内部审计章程所包含的目的和责任;n 内部审计活动遵循了“内部审计定义”和标准n 内部审计人员遵循了职业道德规范和标准2010-计划首席审计执行官必须以分享为
18、基础制定计划,以确定与组织目标相一致的内部审计活动重点。释义首席审计执行官负责以分享为基础制定计划。制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。2010.A1-内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。在计划制定过程中,必须考虑高级管理层和董事会的意见2010.C1-首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。202
19、0-沟通与批准首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计执行官还必须就支援受限制的影响与高级管理层和董事会进行沟通。2030-资源管理首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。释义 “适当”是指实施计划所必须的知识、技能和其他能力的组合。“充分”是完成计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。(不理解)2040-政策与程序首席审计执行官必须制定政策和程序,为内部审计活动提供指导。释义政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。2
20、050-协调首席审计执行官应当与相关确认和咨询服务的其他内外部提供方共享信息、相互协调,以确保适当的工作覆盖面,并尽可能减少重复工作。2060-向高级管理层和董事会报告首席审计执行官必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况,报告中还必须包括重大风险披露和控制事项,其中包括舞弊风险、治理以及高级管理层和董事会需要或要求的其他事项。释义报告频率和内容要经过与高级管理层和董事会的讨论后确定,同时取决于说报告信息的重要性以及高级管理层和董事会采取相关行动的紧迫程度。2100-工作性质内部审计活动必须应用系统、规范的方法,评估并协助改善治理 、风险管理和
21、控制过程。2110-治理内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:n 在组织内部推广适当的道德和价值观;n 确保整个组织开展有效的业绩管理、建立有效的问责机制;n 向组织内部有关方面通报风险和控制信息;n 协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。2110.A1-内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。2110.A2-内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标。2110.C1-咨询业务的目标必须与组织的总体价值和目标保持一致。2120-风险管理内部审计活动必须评估风险管
22、理过程的有效性,并对其改善做出贡献。释义确定风险管理过程是否有效时内部审计师对下列事项进行评估后的判断:l 组织目标支持组织的使命并与其保持一致;l 重大风险得到识别和评估;l 选定适当的风险应对方案,并符合组织的风险偏好;l 获取相关的风险信息并在组织内部及时沟通,以便员工、管理层和董事会履行其相关职责。风险管理过程通过持续性管理活动、个别评估或两者结合的方式受到监督。2120.A1-内部审计部门必须评估下列与组织治理、运营及信息系统有关的风险:l 财务和运营信息的可靠性和完整性;l 运营的效果和效率l 资产的安全l 对法律、法规及合同的遵循情况。2120.A2-内部审计部门必须评估发生舞弊
23、的可能性以及所在组织如何管理舞弊风险;2120.C1-在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。2120.C2-内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。2120.C3-协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层的责任。2130-控制内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的制。2130.A1-内部审计部门必须评估下列针对组织内部治理、运营和信息系统等风险的控制的适当性和有效性:l 财务运营信息的可靠性和完整性;l 运
24、营的效率和效果;l 资产的安全;l 对法律、法规及合同的遵循情况。2130.A2-内部审计师应当确定各项运营及程序的目标和目的的制定情况及其与组织目标和目的符合的程度。2130.A3-内部审计师应当复核各项运营和程序,以确定其结果与既定目标和目的保持一致的程度,并确定运营和程序按计划实施或执行。2130.C1-在开展咨询业务时,内部审计师必须关注与业务目标相关的控制,并警惕重大的控制问题。2130.C2-内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。2200-业务计划内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。22
25、01-制定计划时的考虑因素制定业务计划时,内部审计师必须考虑到:l 被检查活动的目标及控制其实施的方式;l 被检查活动及其目标、资源和运营等存在的重大风险以及将风险的潜在影响控制在可接受水平的方式;l 与相关的控制框架或模式相比,被检查活动的风险管理和控制过程的适当性和有效性;l 对被检查活动的风险管理和控制过程进行重大改进的可能性。2201.A1-在为组织外部的有关方面制定业务计划时,内部审计师必须与其达成书面协议,明确业务目标、范围、各自的职责和其他要求,包括对发布业务结果和对接触业务记录的限制。2201.C1-内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议
26、。对于重要的咨询业务,该协议必须为书面形式。2210-业务目标必须为每项业务确定目标。2210.A1-内部审计师必须对与被检查活动相关的风险进行初步评估,业务目标中必须反映该评估结果。2210.A2-内部审计师确定业务目标时,必须考虑存在重大差错、舞弊、违规和其他风险的可能性。2210.A3-评估控制需要依据适当的标准,以确定目标和目的时候实现。内部审计师必须确认管理层制定适当标准的程度。如果标准适当,内部审计师必须使用该标准进行评估。如果不适当,内部审计师必须与管理层共同制定适当的评估标准。2210.C1-咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定。2220-业
27、务范围确定业务范围必须满足实现业务目标的要求。2220.A1-确定业务范围必须考虑相关的制度、记录、人员和实物资产,包括由第三方控制的相关制度、记录、人员和实物资产。2220.A2-在开展确认业务时,如果出现重要的咨询机会,应当与客户达成具体的书面协议,规定业务目标、范围、各自的职责和其他要求,并遵循咨询业务相关标准沟通咨询业务的记过。2220.C1-在开展咨询业务时,内部审计师必须确保业务范围足以实现与客户协商确定的目标。如果内部审计师在开展咨询业务过程中对该范围有所保留,必须与客户进行讨论,决定是否继续开展此项业务。2230-业务资源的分配内部审计师必须根据每项业务的性质、复杂程度、时间限
28、制以及可获资源的评估,确定业务目标所需要的适当、充分的资源。2240-业务工作方案内部审计师必须制定用以实现业务目标的书面工作方案2240.A1-工作方案中必须包括识别、分析、评估和记录信息的程序。工作方案必须在实施前得到批准,对方案的任何调整都必须及时报批。2240.C1-咨询业务工作方案的形式与内容取决于咨询业务的性质。2300-业务的实施内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。2310-识别信息内部审计师必须识别充分、可靠、相关且有用的信息,从而实现业务目标。释义充分的信息是指符合事实、满足条件、具备说服力,可以使审慎的、具备相关知识的人员得出与内部审计师相同的
29、结论的信息。可靠的信息是指通过采用适当的技术可以获得的最佳信息。相关的信息是指支持内部审计师发现的问题和建议,并与业务目标一致的信息。有用的信息有助于组织实现其目标。2320-分析评价内部审计师必须基于适当的分析和评价,得出结论和业务结果。2330-记录信息内部审计师必须记录相关信息,以支持结论和业务结果。2330.A1-首席审计执行官必须控制对业务记录的接触。在对外界提供记录之前,首席审计执行官必须征得高级管理层和/或法律顾问的同意。2330.A2-首席审计执行官必须规定业务记录的存档要求而无论其采用何种存储介质。这些存档要求必须符合组织的规定以及相关法规或其他要求。2330.C1-首席审计
30、执行官必须制定政策以规定咨询业务记录的保管、存档和对内对外发布。这些政策必须符合组织的规定以及相关法规或其他要求。2340-业务的督导必须对业务实施加以适当的督导,以确保目标得以实现,质量得到保证,员工得到发展。释义所需督导的程度取决于内部审计师的胜任能力和经验水平以及业务本身的复杂程度。无论业务是由内部审计部门负责开展,首席审计执行官都需对业务的督导负全面责任,但可以指定具备适当经验的内部审计部门成员具体复核。适当的督导证据应予以记录和保留。2400-结果的报告内部审计师必须及时报告业务结果。2410-报告标准报告内容必须包括业务目标、范围以及适用的结论、建议和行动计划。2410.A1-只适
31、当的情况下,关于业务结果的最终报告必须包含内部审计师的中体意见和/或结论。2410.A2-鼓励内部审计师在业务结果报工作对令人满意的业绩予以认可。2410.A3-在向组织外部有关方面发布业务结果时,必须告知对分发和使用业务结果的限制。2410.C1-对咨询业务的进展和结果进行报告的形势与内容取决于所涉及业务的性质和客户的需求。2420-报告的质量报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。释义准确的报告是指没有错误和歪曲,忠于相关事实的报告。客观的报告是指公正、不偏不倚、不带偏见的报告,是公正地对所有相关事实和情况统筹评估的结果。清晰的报告是指易于理解,符合逻辑,避免使用不必要的技
32、术性语言,并提供所有重要的相关信息的报告。简洁的报告是指针对性强,避免不必要的阐述、细节和冗余的报告。富有建设性的报告是指可以帮助客户和整个组织,并促进其改善工作。完整的报告是指未遗漏任何重要信息的报告,包括所有支持建议和结论的重要且相关的信息和观察结果。及时的报告是指根据事项的重要程度,适时快速地提供报告,以便于管理层采取适当的纠正措施。2421-错误与遗漏如果最终报告存在重大错误或遗漏,首席审计执行官必须将更正后的信息传达给所有原报告的接收者。2430-对“遵循标准”的应用只有在质量保证与改进程序的结果证实标准已被遵循时,内部审计师才可以在业务报告中声明“内部审计活动遵循了国际内部审计专业
33、实务标准”2431-对未遵循情况的披露未遵循内部审计定义、职业道德规范或标准的情况影响到某一特定业务时,结果报告中必须披露:l 未能完全遵循的职业道德规范所规定的原则、行为规则或标准;l 未遵循的原因;l “未遵循”这一事实对于该业务及已报告结果的影响。2440-结果的发送首席审计执行官必须向适当对象通报结果。释义首席审计执行官或其指定人员对最终业务报告予以复核及批准后签发,并决定该报告的发送对象和发送方式。2440.A1-首席审计执行官负责将最终结果报告给能够确保对结果给予应有考虑的对象。2440.A2-除非法律、法规或其他规章另有规定,首席审计执行官向组织外部通报结果之前必须:l 评估组织
34、面临的潜在风险;l 必要时向高级管理层和/或法律顾问咨询;l 通过限制结果的使用,控制对结果的发送。2440.C1-首席审计执行官负责向客户通报咨询业务的最终结果。2440.C2-在开展咨询业务时,可能会发现治理、风险管理和控制方面的问题,只要这些问题对组织是重要的,就必须向高级管理层和董事会报告。2500-监督进展首席审计执行官必须制定并维护系统或制度,监督已通报结果的处理情况。2500.A1-首席审计执行官必须建立后续程序,监督及确保管理层已采取有效措施,或高级管理层已接受不采取行动的风险。2500.C1-内部审计部门必须在客户同意的范围内,监督咨询业务结果的处理情况。2600-高级管理层
35、接受风险的决定首席审计执行官认为高级管理层接受的剩余风险超过组织可接受的水平时,必须就此事与高级管理层讨论。如果经过讨论双方仍无法就剩余风险作出决定,首席审计执行官必须报请董事会解决。词汇表增加价值内部审计通过确认和咨询服务,增加组织实现既定目标的机会,确认运营的改进,并/或降低风险暴漏的程度,从而为组织创造价值。适当的控制如果管理层的计划和组织行为能够合理保证组织的风险得到有效的管理,组织的目标和目的以经济高效的方式实现,那幺可以认为已建立适当的控制。确认服务为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如财务、绩效、合规性、系统安全和尽职调查等业务。董事会泛指组织的治理
36、机构,例如董事会、监事会、非盈利组织的理事会、信托人、机构负责人,或该组织指定的其他机构,包括首席审计执行官在职能上可向其报告的审计委员会。章程内部审计章程是确定内部审计活动宗旨、权力和职责的正式书面文件,它确定了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。首席审计执行官首席审计执行官是组织内部负责审计工作的高级职位,该职位通常为内部审计经理。如果内部审计业务由外部服务提供者负责开展,则首席审计执行官负责监督服务合同及内部审计业务的整体质量保证、向高级管理层和董事会报告有关内部审计业务开展情况并对业务结果进行后续跟踪。该称谓亦
37、可包括总审计师、内部审计主任、内部审计总监等其他头衔。职业道德规范国际内部审计师协会(IIA)的职业道德规范是指与内部审计职业及实物相关的原则,以及内部审计师应有的行为规范。职业道德规范的适用对象包括提供内部审计服务的个人和机构,其目的是增进全球内部审计职业的道德文化。遵循指遵守各项政策、计划、程序、法律、法规、合同或其他要求。利益冲突指任何表面上或实际上不符合组织最佳利益的关系。利益冲突会损害个人客观履行其职责的能力。咨询服务指咨询及相关的客户服务活动,其性质和范围需要与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推
38、动、培训等均属于咨询服务。控制只管理层、董事会和其他方面为管理风险、增加实现既定目标的可能性而采取的任何行动。管理层负责计划、组织并指导实施充分的行动,为实现目标和目的提供合理保证。控制环境只董事会和管理层对组织内部控制重要性的态度及行动。控制环境为实现内部控制制度的主要目标提供规范和组织架构。控制环境包括以下要素: 诚信和职业道德价值观; 管理层的理念和经营风格; 组织结构; 权力和责任的划分; 人力资源政策和实物; 人员的胜任能力。控制过程只政策、程序和控制活动等控制框架的组成部分,用以确保将风险控制在风险管理过程设定的风险容忍范围之内。业务指具体的内部审计项目、任务或检查活动,如内部审计
39、、内部控制自我评估、复核、舞弊调查或咨询等。一项业务可能包括多项任务或活动,用以实现一组特定的相关目标。业务目标指内部审计师为界定业务预期完成情况而作的概要陈述。业务工作方案指列举业务开展过程中无哦应遵循程序的文件,拟定业务工作方案的目的是为完成业务计划。外部服务提供者指组织以外具备特定领域的专门知识、技能和经验的个人或公司。舞弊指任何以欺骗、隐瞒或违背信用为特征的非法行为。这些行为不依靠暴力或胁迫。个人或组织为获取金钱、财产或服务。为避免付款或提供服务,或为获得个人或组织私利等目的都有可能舞弊。治理指董事会实施的各种流程和框架的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。损害
40、指对组织独立性和个人客观性造成的损害,可包括个人利益冲突,工作范围受限制,获取记录、人员和实物资产的制约以及资源(经费)限制等。独立性指避免客观性或形式上的客观受到威胁的各种情况。这种对客观性的威胁必须在审计师个人、具体业务、职能部门和整个组织等不同层面上加以管理。信息技术控制指支持业务管理和治理,以及针对信息技术基础设施(例如应用程序、信息、基础设施和人员等)提供一般控制和技术性控制的各种控制措施。信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程。内部审计部门/活动指为增加组织价值,改进组织运营而提供独立、客观的确认和咨询服务的部门、处室、咨询专家团队或其他
41、专业人员。内部审计活动采用系统、规范的方法,评价并改善组织的治理、风险观管理和控制过程的有效性,从而帮助组织实现目标。内部审计专业实务框架指用以组织国际内部审计师协会发布的权威指引的概念性框架。该权威指引包括两类-(1)强制性内容;(2)认可并强力推荐的内容。必须标准使用“必须”一词要求无条件地遵循该项准则客观性是一种公正、不偏不倚的态度,可使内部审计师开展业务时确信其工作成果、不作任何重大的质量妥协。客观性要求内部审计师对于审计事项的判断不得屈服于他人。剩余风险指管理层采取措施(包括用于应对某项风险的控制活动)以减少负面事件的影响及可能性之后仍然存在的风险。风险指对实现目标有影响的事件实际发
42、生的可能性。风险通过影响程度和发生的可能性来衡量。风险偏好指组织愿意承受的风险水平。风险管理指识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证。应当标准使用“应当”表示某项准则预期得到遵循,除非根据专业判断,所涉情形允许偏离标准的要求。重要性指某一事项在其考虑范围内的相对重要性,包括定性和定量因素,例如程度、性质、效果、相对性和影响。专业判断有助于内部审计师评估所涉事项相对于相关目标的重要性。标准指内部审计标准委员会发布的专业公告,阐述开展各类内部审计活动及评估内部审计业绩的要求。利用技术的审计方法指所有自动化审计工具,如通用审计软件、测试数据生成程序、计算机
43、化的审计方案、专用审计工具以及计算机辅助审计方法(CAAT)等。实务公告实务公告1000-1 内部审计章程主要相关标准:1000-宗旨、权利和职责内部审计部门的宗旨、权力和职责必须在内部审计章程中按照“内部审计定义”、职业道德规范和标准的相关内容真实确定。首席审计执行官必须定期审查内部审计章程,并提交高级管理层和董事会审批。释义内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件。它确立了内部审计部门在组织内部的地位,授权内部审计部门接触与业务开展相关的记录、人员和实物资产,界定内部审计活动的范围。内部审计章程的最终审批权在董事会。1、 正式的书面章程对内部审计部门的管理十分重要。章程提供
44、了公认的陈述,供管理层检查和接受,并报董事会以会议纪要形式予以批准。章程也为定期检查内部审计部门宗旨、权力和职责的适当性,确立内部审计的角色提供了便利。如果出现问题,章程就是一份与管理层和董事会达成的关于本组织内部审计部门的正式书面协议。2、 首席审计执行官有责任定期评估章程中规定的内部审计宗旨、权力和职责是否仍足以使内部审计部门实现其目标,也有责任将定期评估的结果报告给高级管理层和董事会。实务公告1110-1 组织的独立性主要相关标准:1110-组织的独立性首席审计执行官必须向组织内部能够确保内部审计部门履行职责的层级报告。首席审计执行官必须至少一年向董事会确认内部审计部门在组织中的独立性。
45、1、 高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下开展工作。2、 首席审计执行官在职能上和行政上分别向董事会和首席执行官汇报工作,可以增强组织的独立性。至少首席审计执行官应向组织内拥有充分权力、能够促进独立性并保证广泛的审计范围、能充分考虑审计报告并依据审计意见采取适当行动的人报告。3、 职能上向董事会报告。董事会的职能主要包括:l 批准内部审计部门的章程;l 批准内部审计风险评估及相关审计计划;l 接受首席审计执行官关于内部审计工作结果和其认为有必要的其他事务的报告,包括在管理层不在场的情况下与首席审计执行官进行单独会晤以及每年确认内部审计部门在组织中的独立性;l 批准有关首席审计执行官业绩评估和任免的决定;l 批准对首席审计执行官年度薪酬工资
